蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

概括 

为了吸引尽可能多的受害者,攻击者必须及时了解热门话题。

在这种情况下,我们面临着将门罗币矿工放入似乎是新电影《蜘蛛侠:无路可归》的种子下载中的人。

该文件将自身标识为“spiderman_net_putidomoi.torrent.exe”,从俄语翻译为“spiderman_no_wayhome.torrent.exe”。该文件的来源很可能来自俄罗斯种子下载网站。

该矿工向 Windows Defender 添加排除项,创建持久性,并生成看门狗进程以维持其活动。

静态审查

在详细介绍恶意软件的操作之前,让我们先看看它在代码中为我们做了什么计划。该恶意软件未以 .net 签名和编写,截至目前,它不存在于 Virus Total 中。恶意软件试图通过对其创建的文件和进程使用“合法”名称来避免检查眼睛;例如,它声称是由 Google 提供的并删除名称为 sihost64.exe 的文件,并注入 svchost.exe

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

起初,由于混淆了函数名和字符串,代码看起来有些不可读。代码中的所有字符串都是加密字符串的base64编码。它对代码中提供的解码 base64 字符串使用解密。在分析过程中,我们将函数名称更改为有意义的名称,并解密字符串以更好地理解代码。

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

该程序能够启动一个进程并将其嵌入的资源注入另一个进程:

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

注入发生在这部分代码中:

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

在我们解密后,这将更改为:

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

在这里我们可以看到它针对“c:\windows\system32\svchost.exe”进行注入过程。资源“rvyzh”是一个zip文件,在运行时解压并以线程劫持的方式注入到svchost.exe中。

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

请注意:为了更好的可读性,我们修改了函数名称和加密字符串。

我们还可以看到创建持久化、使用wmi查询主机信息、删除文件的基本操作。

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

后来在研究过程中,我们发现该矿机是SilentXMRMiner的一个版本,在github https://github.com/UnamSanctam/SilentXMRMiner发布免费使用  。 

该项目提供了一个舒适的 GUI 来编译一个新的矿工,每个用户的相关信息。提供信息后,剩下的就是分发矿工。

我们遇到了这个项目的各种编译版本,有些比其他的更混淆。

进程树:

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

该程序启动两个 powershell 编码命令,将以下扩展排除项添加到 Microsoft Defender:忽略用户配置文件下的所有文件夹、系统驱动器(即“c:\\”)以及所有扩展名为“.exe”的文件或“.dll”。

不会太安全了吧?

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

解码后的命令转换为:

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

然后,它会在每次登录时以注册表 CurrentVersion\Run 键或名为“services”的计划任务的形式创建持久性:

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

在创建持久性之后,它确保运行它:

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

新进程“services.exe”运行相同的编码 powershell 命令:

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

第一次运行时,它会杀死任何具有其组件名称的进程,以确保在给定时刻只有一个实例正在运行。

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

该程序将 2 个文件放入磁盘:

  • Sihost64.exe,
  • WR64.sys

然后执行两个新进程:

  • Sihost64.exe – 看门狗进程

该文件来自名为“oocetcmsrfsmni”的资源,与主文件没有太大区别。它的主要功能是确保挖矿过程正在运行。

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

Svchost.exe——这个进程是合适的矿工,它联系域“mine.bmpool.org”。

尝试对命令行字符串进行 base64 解码时,我们得到: 

许多矿工经常向受感染主机放置一个配置文件——该文件包含挖掘所需的信息并将挖掘活动链接到攻击者。除了 conf 文件,还可以在命令行参数中提供此信息。这些方法的问题在于,AV 产品会快速检测到此活动并阻止该过程。

为了解决这个问题,矿工选择的另一个选项是编译他们自己版本的 xmrig 矿工,并将这些信息隐藏在里面,甚至添加更多功能。

在我们的例子中,Svchost由主进程注入,如上所述,带有压缩资源的内容。该资源负责挖矿。当我们提取内容时,我们可以识别“xmrig”挖矿程序,这是一个用于挖矿门罗币的开源项目 https://github.com/xmrig/xmrig。

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

正如我们在这里看到的,结果是不可读的。

此版本为自编译版本,其中包含开始挖矿所需的所有必要信息(用户名、密码、算法、矿池)。所有这些字符串都不会以明文形式出现在任何地方,只有在转储进程内存后,我们才能看到以上所有内容。

此外,我们还发现了逃避监控工具(例如 Process Explorer、Process Hacker、Perfmon 和任务管理器)的证据。

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

yara检测规则

我们创建了一个简单的 YARA 规则来跟踪这个矿工:

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

侵害指标(IOCs)

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

网络

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

注册表

蜘蛛侠:无路可走 盗版下载包含加密挖矿恶意软件

结论

我们建议在从非官方来源下载任何类型的内容时要格外小心——无论是来自未知发件人的电子邮件中的文档、来自可疑下载门户的破解程序,还是来自 Torrent 下载的文件。

您可以采取的一种简单预防措施是始终检查文件扩展名是否与您期望的文件匹配,例如在这种情况下,电影文件应以“.mp4”而不是“.exe”结尾。尝试收集有关该文件的信息,并在双击它之前三思而后行。要确保您看到真实的文件扩展名,请打开一个文件夹,转到“查看”并选中“文件扩展名”。这将确保您看到完整的文件类型。

尽管此恶意软件不会泄露个人信息(这是大多数用户在考虑其计算机上的病毒时所害怕的),但矿工造成的损害可以从用户的电费账单中看出。鉴于矿工长时间运行,这是他们必须支付的真钱。此外,由于矿工通常需要高 CPU 使用率,因此可以在用户设备上感受到损坏,这会导致计算机速度急剧下降。

from

转载请注明出处及链接

2 comments

Leave a Reply

您的电子邮箱地址不会被公开。